トレーダーがUniswap Permit2フィッシング攻撃で100万ドルを失う

UNI2.56%
VIRTUAL1.21%
AIRDROP-3.94%

暗号通貨トレーダーがUniswapのPermit2機能を悪用したフィッシング攻撃により約100万ドルを失ったと、最近の報告で明らかになった。攻撃者は被害者に対し、完全なウォレットアクセスを許可する悪意のあるメッセージに署名させることで騙し、プロトコルの脆弱性や技術的な侵害は関与していなかった。この事件は、2025年に総額140億ドルのオンチェーン詐欺損失を生み出した広範なフィッシング流行の一環として発生し、2024年の120億ドルから増加していると、Chainalysisの2026年暗号犯罪レポートは報告している。攻撃は、トレーダーが正当だと信じてオフチェーンの認証に署名したことに成功の要因があり、Permit2の便利さがユーザーが欺瞞的なインターフェースとやり取りする際の攻撃ベクトルとなり得ることを示している。

トレーダー、Uniswap Permit2フィッシング攻撃で100万ドルを失う

この100万ドルの損失は、DeFiのやり取りを効率化するために設計されたトークン承認システム、UniswapのPermit2コントラクトを悪用したフィッシング攻撃によるものだった。Permit2は、一つのオフチェーン署名で複数のトークン操作を承認できるため、各プロトコルとのやり取りごとに別々のオンチェーン取引を行う必要がなくなる。別の被害者は、$VIRTUAL トークンを含む類似の攻撃で約19万6千ドルを失った。両ケースとも、Uniswapのプロトコルに技術的な侵害はなく、攻撃はスマートコントラクトの脆弱性ではなく、ユーザーの欺瞞によって成功した。フィッシングサイトは、エアドロップ請求ページやスワップ画面などの正当なDeFiインターフェースを偽装し、説得力のあるPermit2署名リクエストを適切なタイミングで提示した。署名されると、悪意のあるコントラクトは追加の確認を必要とせずに被害者の資産全体に即座にアクセスできるようになった。

承認フィッシング、2025年のオンチェーン詐欺損失に140億ドルを生む

Chainalysisの2026年暗号犯罪レポートによると、2025年には少なくとも140億ドルの損失が発生し、2024年の120億ドルから増加した。2026年1月だけでも、フィッシングとソーシャルエンジニアリングによる暗号資産の損失は合計3億7千万ドルに上り、そのうちの2億8千4百万ドルは一件の事件によるものだとCertiKのデータは示している。2021年以降、承認フィッシングは10億ドル超の被害報告をもたらしている。ウォレットの資金引き出しに関わる損失は2025年に83%減少し、約8400万ドルとなった。これは、標的とされたインフラの排除により、その特定の攻撃ベクトルが減少したことを示している。しかし、承認フィッシングは、正当なプロトコルの仕組みを悪用する異なるインフラ上で動作しており、悪意のあるコントラクトを展開しなくても機能する。2026年4月に行われたOperation Atlanticは、承認フィッシングスキームに関連する約1200万ドルの凍結に成功した。

Revoke.cashと検証ツール、Permit2フィッシングに対抗する防御策を提供

Revoke.cashは、ユーザーが未承認のトークン承認やPermit2の権限を監査し、取り消すことを可能にする。新しいまたは未知のプロトコルとやり取りした後に取り消しを行うことで、悪意のある承認が付与された場合の被害を最小限に抑えることができる。署名前にコントラクトアドレスを検証することも重要であり、フィッシングサイトは正当なプラットフォームと見分けがつかないように作られている。ハードウェアウォレットは物理的な確認層を追加するが、侵害されたサイトで悪意のあるメッセージに署名することを防ぐことはできない。ユーザーがハードウェアウォレットを悪意のあるサイトに接続し、Permit2の署名リクエストを手動で確認した場合、物理デバイスは攻撃の一部となる。防御策には、署名前にコントラクトアドレスを検証し、Revoke.cashや同等のツールを用いた定期的な監査を行い、予期しないPermit2署名リクエストには懐疑的に対応することが含まれる。

よくある質問

UniswapのPermit2とは何で、なぜフィッシングリスクを生むのか?

Permit2は、ユーザーが一つのオフチェーンメッセージに署名することで、複数のトークン操作を同時に承認できる仕組みだ。これにより、一つの悪意のある署名が攻撃者に対し、ユーザーのウォレット全体への広範な即時アクセスを許可する。

攻撃者はどのようにPermit2を悪用して100万ドルの損失を引き起こしたのか?

攻撃者は正当なDeFiプラットフォームを偽装したサイトを構築し、ユーザーにPermit2メッセージへの署名を促した。Permit2はオンチェーンの警告や確認画面を生成しないため、被害者は悪意のあるコントラクトを承認していることに気付かず、即座に不正な資金移動が行われた。

承認フィッシングは暗号業界にどのような経済的影響をもたらしているのか?

承認フィッシングは2021年以降、報告された損失が10億ドルを超えている。2025年のChainalysisによる総額140億ドルのオンチェーン詐欺損失に寄与し、CertiKのデータによると、2026年1月だけでもフィッシングとソーシャルエンジニアリングによる損失は3億7千万ドルに達している。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし